はじめに

　社会全体のデジタルトランスフォーメーションが加速し、我々を取り巻く様々な分野においてデジタル技術の利活用が進んでいる。他方、サイバー攻撃はその発生頻度の増加と高度化が続く状況下にあり、サイバーセキュリティ対策のさらなる強化が不可欠となってきている。こうした中で、政府情報システムに対しても、今後、サイバー攻撃の脅威は高まっていくことが予想される。

こうした背景から、政府情報システムにおいても、セキュリティ対策を確実かつ効率的に実装するため、システム開発の上流工程からセキュリティ対策を実装する取組として、セキュリティ・バイ・デザインの必要性が高まっている。

目的とスコープ

本書は「デジタル・ガバメント推進標準ガイドライン」のセキュリティ編と位置づけており、政府情報システムの開発や運用業務に従事する関係者に対して、政府機関のシステム開発における開発から運用までの各工程で実施すべきセキュリティ・バイ・デザインとしての実施内容、要求事項を示すことを主目的とする。

また、セキュリティ・バイ・デザインにおいてセキュリティ品質を確保するためには、開発業務や運用業務に従事する担当者が各工程でセキュリティ対策を実施するだけでは不十分であり、各工程でのセキュリティ対策の妥当性を客観的に評価し、是正対応までを監督するためのセキュリティリスク管理体制の整備も必要になる。よって、本書では、セキュリティに関するリスク評価とリスク管理における関係者の役割も記載スコープに含める。

システム開発、運用の各工程において、本書記載のセキュリティ・バイ・デザインの方針に従い、標準化されたセキュリティ対策を実施し、組織的かつ継続的なセキュリティリスク管理を実施することにより、システムごとに独自方針で実施されていたセキュリティ対策のばらつきや不十分なリスク管理が解消され、政府情報システムにおけるセキュリティレベルの向上が期待される。

なお、本書と合わせて、企画段階から情報セキュリティ対策を考慮し、調達仕様にセキュリティ要件を適切に組み込むことを目的として策定されたNISC（内閣サイバーセキュリティセンター）の「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル（SBDマニュアル）」を調達段階において参照されたい。

適用対象

本文書は、政府情報システムを適用対象として想定している。なお、本文書はセキュリティ・バイ・デザインへの理解を深める参考文書であり、適用の遵守を強制するものではない。

位置づけ

本文書は、標準ガイドライン群のInformative（情報提供）のレベルの参考文書である。

本書の構成

第2章では、セキュリティ・バイ・デザインの概要や導入メリットを示すとともに、セキュリティ・バイ・デザインの原則となる基本方針について説明する。セキュリティ・バイ・デザインに関する知見がない読者は、本章を理解することで、第3章以降の記載内容の理解を深めることができるため、一読することを推奨する。

第3章では、第2章の基本方針を踏まえて、セキュリティ・バイ・デザインを実現するための構成要素を示すとともに、政府情報システムに対するセキュリティ・バイ・デザインの本書のスコープについて説明する。

第4章では、政府情報システムにおけるセキュリティ・バイ・デザインの実施内容として、システム開発、運用の各工程におけるセキュリティ対策の実施内容とセキュリティ要求事項を記載する。また、セキュリティ専門家の知見や昨今の傾向等を踏まえ、確実に抑えるべき、重要となるセキュリティ対策について、具体的な考え方を示す。本章の記載内容を俯瞰的に理解し、実践することで、システム開発ライフサイクル全体を通したセキュリティ強化の実現が可能となる。

第5章では、セキュリティ・バイ・デザイン実施の品質確保に必須となるセキュリティリスク評価と継続的なリスク管理を実現するための関係者の役割について記載する。各府省あるいは政府機関は本章の記載内容に従い、関係者の任命と当該関係者を含めたセキュリティ・バイ・デザインの運用方法、リスク管理方法を整備し、実行的で効果的なセキュリティ・バイ・デザインの実施に努めることが求められる。

第6章では、前章までの内容を踏まえ、セキュリティ・バイ・デザイン実施時の留意点を記載する。セキュリティ・バイ・デザインを運用する際は、本章の内容に留意して実施する必要がある。

用語

本文書において使用する用語は、表１-1及び本文書に別段の定めがある場合を除くほか、標準ガイドライン群用語集の例による。その他専門的な用語については、民間の用語定義を参照すること。

表 １‑1　用語の定義